Американские аналитики связали кибератаки на российские госорганы с Китаем


Pxfuel

Эксперты американской компании Sentinel Labs, специализирующейся на кибербезопасности, поделились результатами собственного расследования серии кибератак против российских госорганов. Доклад об этой киберпреступной операции в мае был опубликован структурой "Ростелекома" Solar JSOC и подготовлен совместно с Национальным координационным центром по компьютерным инцидентам, созданным ФСБ.

Речь в докладе российских структур шла о зафикисрованых в 2020-м целенаправленных атаках на федеральные органы исполнительной власти, а организаторы операции назывались наемниками, действовавшими в интересах неназванного иностранного государства.

Как пишет "Коммерсант", содержащаяся в российском докладе подробная информация об инструментарии и методах нападавших позволила американской Sentinel Labs провести свой подробный анализ случившегося. Эксперты компании пришли к выводу, что улики указывают не на западные спецслужбы, а на китайскую группировку ThunderCats ("Громовые кошки"), входящую в более крупное киберпреступное объединение, TA428.

Sentinel Labs утверждает, что TA428 атакует в основном российские и восточноазиатские ресурсы, а использованная в атаках на российские госорганы программа Mail-O является вариантом применяемой TA428 программы, известной как PhantomNet или SManager. Амерканские аналитики уверены, что речь идет о целенаправленных атаках, проведенных с целью сбора разведывательных данных.

Mail-O работает, маскируясь под разработанную Mail.Ru Group утилиту Disk-O, предназначенную для централизованного управления облачными хранилищами от разных поставщиков — от самой Mail.Ru Group до Google и Microsoft. Также в атаках, согласно российскому отчету, применялась замаскированная под клиент "Яндекс.Диска" вредоносная утилита Webdav-O.

Полностью скомпрометировав компьютерную инфраструктуру организации-жертвы, хакеры затем охотились за любой доступной конфиденциальной информацией в электронной почте, на серверах электронного документооборота, в файловых хранилищах и на компьютерах руководителей разного уровня. В Solar атаку назвали "беспрецедентной".

При этом в структуре "Ростелекома" пояснили в ответ на запрос издания, что никогда не приписывали описанную серию атак западным киберпреступным группировкам. В Solar заявили: "Мы в целом не можем разглашать никаких деталей проведенной атрибуции. По этим же причинам мы не можем никак прокомментировать выводы экспертов Sentinel".

Опрошенные "Коммерсантом" эксперты — Денис Легезо из "Лаборатории Касперского" и Анастасия Тихонова из Group-IB — воздерживаются от однозначных выводов. Однако оба не исключают, что высказанная Sentinel Labs версия о причастности к атакам на федеральные органы исполнительной власти китайских кибергруппировок соответствует действительности.